Форум казахстанского налогоплательщика

Нуреке писал(а):Если есть варианты - напиши статью о паролях. Эта тема тоже будет очень интересна для пользователей.

Вот так меня озадачил один товарисч
Вечер, пиво выпито-с. За окном стемнело. В комнате царит мрак освещяемый отблесками монитора. На улице тает первый в этом году снег... Эммм чо-то Остапа понесло явно не туда
Итак.
Краткий ликбез о паролях
Еще каких нибудь четверть века назад никто и слыхом не слыхивал о компьютерах, интернетах, о том, что сейчас считается обыденным делом. За это время комп. техника и глобальная сеть переживает взрывоподобное развитие, которое продолжается и по сей день. Первыми компьютера появились в различных НИИ, у военных и только потом они появились на предприятиях, в квартирах. По первости люди не были озабочены сохранностью данных. Но это было ровно до первого массового взлома компов осуществленных хакером всех времен и народов Кевином Митником. Его вирус содержал в себе около 400 наиболее распространённых на тот момент паролей. Что дало ему возможность получить доступ на множество компьютеров.
Так почему же он с такой лёгкостью получил доступ. А я отвечу вам, потому что пароли были простые, типа кличка домашнего животного, имя ребёнка, дата рождения.
Есть такая наука - социальная инженерия. И умный человек воспользовавшись ею в 80% случаев сможет получить доступ в необходимую ему систему.
Я не буду вам рассказывать как делается атака, я лучше расскажу вам как от них обезопаситься.
1. НИ В КОЕМ случае не используйте в пароле информцию о себе, своих родных или домашних. С вероятностью в 90% такой пароль будет подобран.
2. Для создания пароля используйте набор случяйный символов минимум из 12-14 символов.
3. Обычно такие пароли плохо запоминаются. В этом случае не то что хакеры не смогут получить доступ к защищённой этим паролем информации, но и вы сами - владелец вышеописанной информации.

Подойти к этому процессу творчески. Можно придумать пароль, который к вам нисколько не относится, но если понадобится, сразу же всплывёт в памяти. Для создания пароля можно использовать первые буквы фраз, песни, каких-либо стихов или составить совершенно новое слово. Например, словосочетание "ZolotoeKolco" можно изменить на "Z010t0eK01c0".

После создания пароля немедленно наберите его и используйте его несколько раз в течение дня. Это поможет его запомнить.

Для каждого отдельного взятого случая используйте различные пароли. В этом случае если будет взломан один из ваших паролей, информация, защищённая другими паролями, не пострадает.

Существуют некоторые споры относительно того, стоит ли записывать свой пароль. Некоторые говорят, что если будет существовать копия вашего пароля, написанная на бумаге, то в этом случае шанс на его взлом возрастают. Если вы решили где-то записать свой пароль, то убедитесь, что он не попадёт в чужие руки.

4. Регулярно меняйте пароль: хотя бы раз в месяц. Возможно, это и может показаться излишком, но в современном мире, где многие хотят узнать пароль к чужому банковскому счёту или информацию о кредитной карте, это имеет определённый смысл. Всем известная компания Microsoft рекомендует менять пароли каждые 30 - 90 дней.

Если кому надо, могу написать простейший скрипт - генератор паролей.

Gosti,
интересно написал, спасибо +

впервые решил отблагодарить Gosti за интересную инфу и никакой реакции, не ставиться.

Gosti писал(а):Для каждого отдельного взятого случая используйте различные пароли

я бы уточнил этот пункт.
Положим Вы зарегистрированы на 5 разных сайтах, в двух банк-клиентах и 3 Интернет-магазинах.

Так вот в банках и магазинах, в каждом из них у Вас должен быть свой уникальный пароль. И этот пароль не должен быть таким же как на других сайтах.

Приведем пример, Вы зарегистрированы на сайте "материнство.кз" и в банке "Алмаз Банк" с одним паролем.

Если вдруг кто-то случайно узнает пароль от "материнство.кз" он сможет войти и в Ваш счет в "Алмаз Банк".

Причем узнать можно по-разному: подсмотреть, поставить на компьютере вирус, который сворует пароль, обмануть Вас (вместо сайта "материнство.кз" Вас направят на сайт "материнство.info", который выглядит также), взломать сайт "материнство.кз" и узнать там Ваш пароль.

С другой стороны иногда и пароль для простого сайта может быть очень важным. Особенно для почты. Поэтому сразу определите какие сайты для Вас важны и там пароли у Вас должны быть уникальными.

Ммм, чот не подумал, для меня это само собой разумеющееся

Gosti, если позволите я выделю для Вас, для тех кто дочитал до этого сообщения и тех еще будет писать темы: Вы не подчеркнули важность темы.

Казалось бы, что страшного, если кто-то узнает пароль от сайта или банка.

А Вы представьте, что Ваш ключ от дома, где деньги лежат оказался в чужих руках?
Пароль это по сути ключ.

А сложность пароля это замок.

Если Вы поставите слабый пароль, то это может оказаться как простой навесной замок и его можно обойти простым подбором. А после этого украсть у Вас деньги, отправить Вашим друзьям вирусы ну и т.д. в зависимости от того куда пароль.

Поэтому храните ключ в дали от чужих глаз (не давайте самые важные пароли никому).
И на важных местах ставьте надежные замки - сложные пароли.

Каждый день честные люди теряют миллионы от того, что либо ставят простой пароль либо их пароль попадает в чужие руки.

Поэтому храните ключ в дали от чужих глаз (не давайте самые важные пароли никому).

В рамочку и на стену.

Каждый день честные люди теряют миллионы от того, что либо ставят простой пароль либо их пароль попадает в чужие руки.

В первую очередь свой опус адресовал для работы дома. На работе вступают в силу так называемые корпоративные решения, в которых пользователь не участвует. Политика безопасности предприятия в руках соответствующей службы.

Очередной + безработному парню из Кукуцаполя.
По теме скажу, что пароли ставлю везде разные, нигде их не записываю, ни на бумаге, ни в файлах. Но иногда наступает момент, что не могу их вспомнить. Может склероз?

Вот здесь два выхода: собственная система по придумыванию паролей (как в статье) или использовать специальные программы по хранению паролей.

Скажу сразу, чтобы не было кривотолков: есть простые программы, из которых легко вытаскиваются хранимые пароли. А есть программы, из которых еще не зафиксированы взломы паролей.

Прошу не начинать спор, что не взломали, потому что еще руки не доходили и так далее.

Но правда есть нюанс, все действительно надежные программы платные (от 35 $). Хороших бесплатных я не знаю.

PGP

Цитата с педивикии

На данный момент не известно ни одного способа взломать шифрование PGP при помощи полного перебора или уязвимости криптоалгоритма. В 1996 году криптограф Брюс Шнайер охарактеризовал раннюю версию PGP как «ближайшую к криптосистемам военного уровня». Ранние версии PGP обладали теоретическими уязвимостями, поэтому рекомендуется пользоваться современными. Кроме защиты данных, передаваемых по сети, PGP позволяет шифровать запоминающие устройства, например, жёсткие диски, и файлы.

Вот, может кого заинтересует http://ru.wikipedia.org/wiki/PGP

PGP - это для шифрования. И я его знаю, спасибо.
А я про менеджер паролей.

Положим зашел ты на своем домашнем компьютере на сайт, начинаешь регистрироваться и уже не сам придумываешь пароль, а программа придумывает сложный 15-значный пароль. Он вводится на сайт. И далее в любой момент если сайт попросит его ввести, то программа его сама введет.

Более того, если какой-то поддельный сайт попросит ввести пароль, то менеджер паролей не даст сразу ввести, а предупредит, что это может быть обман.

Но и это не все. Утром Вы приехали на работу, где стоит эта же программа, а она уже знает, что Вы на таком-то сайте используете такой-то пароль (он синхронизируется с сервером программы).

Самые лучшие программы из этой области стоят очень дорого, но и случаев взломов пока неизвестны.

Самые лучшие программы из этой области стоят очень дорого, но и случаев взломов пока неизвестны.

Можно и самим написать, только это не интересно

Действительно хорошие системы имеют сложную структуру: это и хранение в зашифрованном виде пароля, и синхронизация с сервером, и интеграция во все основные браузеры, и защита от троянов, которые пытаются перехватить ввод и целый ряд других проблем.

Кайрат, стой, притормози. Мы же о домашних компьютерах, а не о машинах КНБ.

Gosti писал(а):Мы же о домашних компьютерах, а не о машинах КНБ

И с домашнего компьютера можно управлять банковским счетом, на котором денег много нуликов после цифр. Так что тут стоит побеспокоиться.

в таком случае впн до рабочей тачки, а там корпоративный секьюр

И тем не менее хранить 20 разных паролей по 20 знаков. чтобы их не забыть, чтобы их не украли, чтобы их быстро вводить в браузеры. В общем это сложные задачи. Поэтому и программы платные.